Uma das questões mais difíceis na segurança cibernética corporativa – algo como qual a Comissão de Valores Mobiliários dos EUA está lutando abertamente – é quando uma empresa deve relatar uma violação de dados?
A parte fácil é: “quanto tempo depois que a empresa souber da violação deve divulgar?” Diferentes regimes de conformidade chegam a números diferentes, mas são relativamente próximos, desde as 72 horas do GDPR até os quatro dias iniciais da SEC.
A parte complicada é definir quando qualquer entidade corporativa realmente “sabe” que algo aconteceu. Em que momento preciso o Walmart ou a ExxonMobil sabem alguma coisa? (Se a linguagem disser “quando o CFO da empresa se convencer de que ocorreu uma violação de dados”, isso seria muito mais direto.)
Para descobrir esse problema de conscientização, primeiro precisamos dividi-lo em dois elementos distintos:
- O que constitui evidência razoável de uma violação de dados?
- Quem deve tomar uma decisão de violação de dados para uma empresa? O chefe do Centro de Operações de Segurança (SOC)? O CISO? O CIO? O CEO? Um subconjunto da placa? A placa inteira? Talvez apenas a cadeira do conselho?
Vamos começar com o elemento um. Com exceção de ataques óbvios – como um ataque de ransomware em que um resgate junto com a prova de intrusão foi recebido – a maioria dos ataques se apresenta gradualmente. Alguém no SOC detecta uma anomalia ou outra coisa suspeita. Isso é suficiente para informar? Quase certamente não. Então alguém mais graduado no SOC se envolve.
Se as coisas ainda parecerem ruins, é relatado ao CISO ou ao CSO. Esse executivo pode dizer: “Você me vendeu. Preciso relatar isso imediatamente ao CIO, ao CFO e talvez ao CEO.” Se sim, isso ainda não atingiu o estágio de divulgação. Esses outros executivos precisam pesar.
É mais provável, porém, que o CISO/CSO recue, dizendo algo como: “Vocês ainda não resolveram isso. Ainda pode ser qualquer uma de uma centena de coisas diferentes. Veja alguns backups, faça comparações, verifique a darkweb para qualquer confirmação. Continue investigando.”
O relógio já começou? Novamente, provavelmente não. Uma empresa não pode relatar todas as investigações de segurança cibernética. O nível de prova necessário para merecer uma divulgação pública é alto. Afinal, tenha pena do pobre executivo que relata uma violação que mais tarde acaba não sendo nada.
Outro fator: a maioria dos ladrões e ciberterroristas são excelentes tanto para esconder seus rastros quanto para deixar pistas enganosas. Combinar com os logs é comum, o que significa que a segurança de TI só pode confiar nos logs até agora — pelo menos inicialmente. Lembre-se de quantas vezes o primeiro relatório forense difere materialmente do segundo relatório forense. Simplesmente leva tempo, mesmo para investigadores forenses experientes, para separar a verdade de algo enganoso deixado pelos atacantes.
Quanto ao segundo, quem decide quem deve ser o decisor final para uma violação de dados? Um argumento pode ser feito para o principal especialista em segurança cibernética (presumivelmente o CISO/CSO) ou as pessoas mais responsáveis pela empresa (CEO ou conselho), mas para algumas empresas, o Chief Risk Officer pode ser um bom candidato.
Cada empresa escolhe por si mesma? Os reguladores devem decidir? Ou os reguladores devem deixar que cada empresa decida por conta própria quem será a pessoa responsável e informar esse título aos reguladores?
Jim Taylor, diretor de produtos da fornecedora de segurança cibernética SecurID, argumenta que o gatilho deve acontecer ali mesmo no SOC. “Ter algo pingando em sua cerca não é um gatilho. Talvez seja o analista sênior, talvez seja o gerente do SOC”, disse Taylor. “É preciso haver culpabilidade, responsabilidade por essas coisas.”
